DVWA系列のCSRF&文件包含

Cross Site Request Forgery (跨站请求伪造)：

File Inclusion（文件包含）

本地文件包含:

等级为low时代码为如下

 

直接../../robots.txt读取robots.txt文件

 

 

在linux下可访问/etc/passwd

 

 

远程文件包含:

本漏洞需要 php 开启

allow_url_fopen on

allow_url_include on

这两个函数，并且 magic_quotes_gpc = Off

尝试访问本地的一个phpinfo.php失败

 

等级为medium时代码为如下

 

 

在medium里面加了对http://和https://的过滤也就是防止对外部链接的文件包含对/etc/passwd的读取并不影响